（四）网络安全等级保护的主要内容

网络安全等级保护主要包括定级备案、建设整改、等级保护测评、监督检查4个方面的内容。

1．定级备案

对信息系统进行定级备案是网络安全等级保护的首要工作。定级备案过程包括确定定级对象、初步确定等级、专家评审、主管部门审核、备案审核等，如图2-2所示。

（1）定级对象

定级对象主要分为信息系统、基础网络和数据资源3类，如图2-3所示。其中，信息系统不仅包括传统信息系统，还包括云计算平台/系统、物联网、工业控制系统、移动互联网等。

图2-2　定级备案过程

图2-3　定级对象分类

（2）定级要素

定级对象的定级要素包括受侵害的客体和对客体的侵害程度，其中受侵害的客体包括公民、法人和其他组织的合法权益，社会秩序、公共利益，国家安全。定级对象受到破坏后对客体的侵害程度包括一般损害、严重损害、特别严重损害3种。根据《信息安全技术 网络安全等级保护定级指南》（GB/T 22240—2020），定级要素与安全保护等级的关系见表2-1。

表2-1　定级要素与安全保护等级的关系

（3）定级方法

定级对象的安全主要包括业务信息安全和系统服务安全，相应的安全保护等级由业务信息安全和系统服务安全两个方面确定。根据定级要素与安全保护等级的关系，分别确定业务信息安全保护等级和系统服务安全保护等级后，将其中等级较高者确定为定级对象的安全保护等级，如图2-4所示。

图2-4　定级方法

（4）系统备案

运营单位在确定安全保护等级后，须到所在地市级及以上公安机关备案。新建或者已运行的第二级及以上信息系统，应在等级确定后30日内完成备案工作。公安机关对信息系统备案情况进行审核，对符合要求的颁发等级保护备案证明。定级不准的，应当重新定级、重新备案。

2．建设整改

运营单位在信息系统建设过程中，应遵循同步规划、同步建设、同步使用的原则，按照相关标准开展网络安全等级保护工作，包括安全防护方案的设计与实施、安全产品的采购与部署、安全管理制度的建立和实施等。对于已建成的信息系统，经测评或者运营单位自查，未达到安全等级保护要求的，运营单位应当进行整改，根据差距分析结果，增加安全防护手段，制定并落实相关安全制度等。

3．等级保护测评

运营、使用单位或者主管部门应当选择具有等级测评资质的测评机构，定期对信息系统网络安全状况开展等级测评工作。第三级及以上信息系统至少每年进行一次等级测评，第四级及以上信息系统至少每半年进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。测评机构完成测评后，出具测评报告，明确测评等级结果和得分。

4．监督检查

公安机关依据《信息安全等级保护管理办法》等相关规定，监督检查运营、使用单位开展等级保护工作，定期对信息系统进行安全检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次，第五级信息系统由国家指定的专门部门进行检查。监督检查的主要事项包括确定安全需求是否发生变化、定级是否准确，掌握安全自查情况，安全管理制度、措施落实情况，等级测评情况，信息安全产品使用情况，安全整改情况，备案材料与运营、使用单位信息系统的符合情况等。